【資安工具專欄】永不止息的威脅 慎防釣魚攻擊

依據APWG ( 反釣魚工作小組 (Anti-Phishing Working Group, 簡稱 APWG) 2013 年2 月的 研究報告，金融產業及線上付款的網路服務持續成 為網路釣魚攻擊的主要目標，數據顯示每天約有上 百個全新的釣魚網站上線，攻擊者利用電子郵件、 聊天軟體、社交網站等媒介散佈連結並誘騙使用者 洩漏他們的個人機密或管理權限，值得注意的是， 越來越多的攻擊者傾向於用具有針對性、特製化， 帶有些許惡意程式及入侵技術的詐騙手法。根據 Cisco 的一份研究顯示，與傳統發送大量釣魚信件 給大眾消費者相比，少數精心設計的騙局往往能取 得不遜色於前者的成果，這也造成釣魚攻擊比以往 更難被分辨出來，若是詐騙目標的服務伺服器真的 遭受攻擊，恐怕連專業資安人也可能會受騙上當。

網路釣魚攻擊到底造成多少損失始終沒有一個準確的數據，RSA FraudAction 研究實驗室估算，光是 2012 年美國因此類攻擊就損失高達15 億美金、而粗估中國大陸因釣魚網站大約一年就受損300 億人民幣、Cisco white paper 甚至估計釣魚攻擊一年總共造成980 億美金的損失；至於Microsoft 就保守 看待，認為美國因釣魚攻擊的損失僅為6,100 萬美 元，但無論如何，網路釣魚攻擊的問題歷久不衰。 即使各種防制措施方案推陳出新，但由於網路釣魚 攻擊成本低，如同野火燒不盡、春風吹又生。如果不想成為下一個受害者，那麼就必須對網路釣魚的防治有基礎了解及防護觀念。

釣魚防制技術　三大類各有優缺點

資安技術針對網路釣魚的防護，根據其保護使用者的時間點，可分為三種類型：

1. 使用者接觸可疑資訊前：

此種類別的技術，形式上就像是一道防火牆，其用 意是提前將可能的惡意資訊攔截，以保護使用者。 整體而言接近於Spam 過濾技術，但是更加針對釣 魚攻擊所出現的特徵。防護系統可能會檢查流向使 用者的電子郵件、IM 聊天訊息、檔案文件等，例 如Fette 等人提出PILFER，一種用機器學習統合各 攻擊特徵的方法，檢查電子郵件是否為釣魚信件。

2. 使用者接觸可疑資訊時：

這種方法幾乎都伴隨著瀏覽器而存在，即時檢查使 用者造訪的每條連結，當檢測出惡意來源即進行警 告及資訊攔截，許多防毒軟體也會提供類似的防 護。針對釣魚網站偵測的實做方法亦有數種，例如 Chrome 及Firefox 內建的Google Safe Browsing 會準備好網域名稱的黑名單，使瀏覽器可迅速過濾掉 惡意的來源網站；包括SpoofGuard 在內的數種瀏 覽器外掛以檢驗網頁各項特徵值來即時判斷是否為 釣魚網站；DOMAntiPhish 對可疑網站進行網頁相似度比較以判斷當前網頁是否模擬其他網頁，似度比較以判斷當前網頁是否模擬其他網頁， 以此來認定是否為釣魚攻擊等。這些方案多半 作為外掛或工具列安裝入瀏覽器，以同步的保 護客戶端使用者。

3. 機密資訊的控管

上述兩種類型的反釣魚技術，都有誤判的可能 性。為了徹底保護用戶端，部分研究以特別的 方法保護使用者。目標有二，第一種是即便使 用者受騙於釣魚網站，機密資料也不會外洩。 例如早期的PwdHash，提供不同域名雜湊服 務。使用者敲入的同一組密碼，對應網頁的域 名不同會讓網站收到不同的密碼。只要釣魚網 站無法取得跟目標網站相同的域名，即便使用者受騙傳出個人密碼，釣魚網站也只能收到被雜湊過，無法在目標網站使用的密碼。但是需 要使用者對各組密碼更新一次，使用上造成些許不便。

第二種是即便使用者機密資料外洩，也不會立即造成用戶損失。例如暗黑破壞神三，提供玩 家驗證器的服務，在輸入帳號密碼後還需要輸出驗證器上30秒更新一次的序號。如此即便 玩家帳號密碼洩漏，在未取得驗證器號碼的情 況下玩家仍然不會被盜帳號。這缺點是需要額 外的服務及造成登入動作複雜化。雖然這兩類 方法防護的效果相當可靠，但由於使用上不方便，終究無法成為廣泛應用的釣魚防護手段。

釣魚防制的根本 從觀念做起

各類防護工具百家爭鳴，但是到今天為止，它 們都只能＂減輕＂傷害而非解決。再好的防毒 軟體也會有誤判，釣魚偵測同樣如此。從你的 收信夾裡總會出現的垃圾信件就可以看出，如 果偵測工具認為是合法的信件或網頁，不代表 可以掉以輕心，可能攻擊者最新一個突破防護 的案例就在你眼前。而第三方驗證除了麻煩， 其實也同樣有可能被破解或是欺騙，沒有任何 一種方案可以高枕無憂。想要遠離網路釣魚的 威脅，除了安裝釣魚防護的軟體，關鍵之處仍 然是已經被廣泛宣導多時的反網路釣魚觀念： 保持警惕、不開可疑信件、不點不明連結、不 收不明來源的檔案等等…雖然許多人對這些已 經耳熟能詳了，但這永遠是保護自身的最後 一道也是最重要的關卡。